1. 네이버 개인정보보호 리포트

- 네이버는 2012년부터 개인정보 보호 활동을 엮어 '네이버 개인정보보호 리포트' 발행 [1]

> 2015년부터 '이용자 프라이버시 보호'에 대한 전문 연구 수행결과를 모아 'Privacy Whitepaper' 발행

구분 목차 주요 내용
2023
개인정보보호
리포트		 환경의 변화 ① 개정 개인정보보호법 시행
② 생성형 AI의 대중화 및 인공지능 규제 움직임
③ 네이버 대화형 AI 서비스 및 생성형 AI 검색 서비스 신규 출시
④ 데이터센터 오픈
네이버 개인정보 보호
주요 활동 및 이슈		 ① 변화 대응
- 국내 개보법 개정 대응 : 법 개정에 따른 영향 검토 및 관련 내용 내부 전파
> 개정에 따른 개인정보보호 체계 정비 및 방향성 검토
> 사내 임직원 교육 및 공지 진행

- CLOVA X 서비스 출시 점검 : 인공지능 도입 전 점검표 기반 사전 점검 진행
> 서비스 기획 및 설계 과정에서 개인정보 영향평가 진행
> 인공지능 개인정보보호 자율점검표 기반 개인정보보호 이슈 검토

② 투명성 강화
- 아동, 청소년 개인정보 보호 강화 : 아동 개인정보 보호 투명성 강화 목적
> 아동을 위한 개인정보 보호 교육 영상 제작
> 아동용 개인정보 처리방침 제작
> 네이버 프라이버시센터 '아동 개인정보보호' 메뉴 신설

- 모바일 애플리케이션 프라이버시 보호 현황 공개 : 이용자 최신 정보 분기별 공개
> 이용자 신뢰 및 투명성 강화

③ 인식 강화
- 정보보호의 달 릴레이 교육 실시 : 이용자 및 종소상공인 등 대상 교육 실시
> 소상공인 대상 개인정보 보호 교육 / NAVER PER 제도 / EU GDPR 교육

- 네이버 임직원 대상 개인정보보호 교육 실시 : 개인정보 보호 중요성 강조

④ 보호 활동
- 네이버 개인정보보호 위원회 제9기 위촉 : 개인정보보호 최고 전문가들로 구성
> 위촉 및 활동 결과 공개

- 네이버 1784 사옥 개인정보 처리 현황 확인 : 신기술 도입에 따른 개인정보 보호 이슈 대응

 

2. Privacy Whitepaper

2.1 자동화된 결정 규정의 해석과 바람직한 운영 및 개선방안

- 자동화된 결정: 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정 (개보법)

- 프로파일링: 자연인의 개인적인 특정 측면을 평가하기 위하여 행해지는 모든 형태의 자동화된 개인정보 처리 (GDPR)

> 인간의 존엄성, 프라이버시와 자유, 민주주의, 공정성 문제

> 문제를 어떻게 해결할 것인가: 개보법제, 차별금지법제, 인공지능 규제 법제, 행정 법제

> 여러 상황, 맥락 등에 따라 다양한 한계가 존재

 

- 자동화된 결정에 대한 대응권 규정의 해석 비교

> 거부권의 요건 강화

> 거부권의 법적 성격이 정보주체의 권리임을 명확히 함 등

구분 법제 주요내용
거부권 GDPR - 자동화된 결정의 적용을 받지 않을 권리(제22조 제1항)
> 요건: 자동화된 처리에만 기초한 결정이며, 정보주체에게 법적 효력을 초래하거나 유사하게 중대한 영향을 미칠 것
> 예외: 계약 체결 또는 이행, 법규제, 명시적 동의
개정
개인정보보호법		 - 권리의 창설
> 요건: 자동화된 결정이 존재하며, 정보주체의 권리 또는 의무에 중대한 영향 끼침
> 예외: 계약 체결 또는 이행, 법규제, 명시적 동의
> 문제점: 거부와 설명요구의 효과를 함께 규정하여 불명확함.
설명요구권 GDPR > 요건 : 제22조의 자동화된 결정 / 본인에 관한 법적 효과를 초래하거나 이와 유사하게 본인에게 중대한 영향 미쳐야 함
개정
개인정보보호법		 > 자동화된 결정에 대한 대응권에 속하는 별도의 권리
> 요건: 정보주체에 대한 자동화된 결정의 존재  (정보주체의 권리 또는 의무에 중대한 영향 요건 누락)

 

- 개선방안

구분 주요내용
명확성의 제고 - 거부권 행사의 효과를 명확히 규정
- 개인정보처리자의 면책 사유로서의 정당한 사유를 구체화
- ‘정보주체의 권리 또는 의무에 중대한 영향을 미칠 것’을 요건으로 함으로써 설명요구권의 요건을 강화 등
절차적ㆍ수단적 규제로서의 특성 고려 - 과도한 제재가 가해지지 않도록 운용
상황과 맥락의 고려 - 공적 영역과 사적 영역의 차이
- 당사자들의 이익형량을 고려
기술적 한계의 고려 - 설명이 사회관념상 기술적으로 불가능한 경우 위법하다고 할 수 없음
- 블랙박스(black box) 문제: 인공지능에 의한 판단이나 결정의 근거나 과정에 대한 적절한 설명이 없는 상태
- 상충관계의 문제
- 공정성 지표의 문제
자율적 접근과 후견적 접근의 조화 - 자율적 접근방식의 채택이 보다 합리적
- 후견적 접근방식에 의한 보완
- 자율규제의 활용

 

2.2 개인정보의 제3자 제공을 둘러싼 몇 가지 쟁점에 대하여

- 개인정보보호법의 제3자 제공에 관한 규정

> 수집, 이용에 관한 제15조, 제3자 제공에 관한 제17조

> 목적 외 이용 및 목적 외 제공에 관한 제18조가 병렬적으로 나열되어 혼란 유발

> 체적으로 ‘처리’에 관한 규정으로 통합 or 법 제17조와 제18조를 통합하는 방안 고려 필요

 

- 제3자 제공 관련 해외 법제 개요

구분 주요 내용
일본 - 동의를 받지 않은 경우에는 개인데이터를 제3자 제공할 수 없음을 원칙으로 규정
- 우리나라의 경우보다 동의 없이 제3자 제공을 할 수 있는 경우가 훨씬 완화
- 제3자 제공을 위한 고지 사항이 다소 포괄적으로 설정되어 있으며, 동의의 방식도 포괄적으로 인정
- 동의 원칙을 완화한 대신 사업자의 기록 보존 의무를 명시
- Opt-put 사업자 제도를 두어 개인정보 보호위원회에 신고하고 일정한 사항을 공개한 경우에는 동의 없이 제3자 제공이 가능
- 그 외 제3자 제외 간주 조항을 두어 위탁, 합병, 공동 이용의 경우 제3자 제공의 원칙들이 적용되지 않도록 함
GDPR - 제3자 제공에 대하여 처리에 포함하여 수집과 함께 포괄적으로 규정
- 원칙은 고지와 그에 따른 동의이며,그 이외의 다른 적법 처리 근거들이 병렬적으로 제시
- 위탁의 경우 컨트롤러와 프로세서 간에 일정한 사항을 포함하는 서면 계약을 체결할 것을 요구
- 공동 컨트롤러 사이에는 계약과 그 계약 내용의 공개를 통하여 공동 컨트롤러 간의 개인정보 이전에 대하여 동의 등 적법 처리근거 없이 공동 컨트롤러로서 처리가 가능

 

- 개인정보보호법상 관련 규정 검토

구분 주요 내용
제3자 제공 관련 규정에 대한 검토 - 제공은 개인정보의 지배권과 관리권을 이전한다는 의미로 표준 개인정보지침은 개인정보의 접근권한 부여, 공유, 공동 이용상태를 초래하는 행위를 모두 포함
제3자 제공과 위탁의 구분 - 정보주체와의 관계에서 ‘책임’을 누가 지는 것으로 하였는가를 기준으로 하여야 한다는 책임기준설이 제시
공동 이용에 따른 처리에 대하여 별도 입법의 필요성 - 공동 이용: 업무-이익기준설의 관점에서 복수의 개인정보처리자 간에 공동의 목적과 이익을 위하여 개인정보를 처리하는 경우를 의미
- GDPR ‘공동 컨트롤러(Joint Controllers)’ 개념, 일본 공동 이용제도 등
- 공동 이용제도에 대하여 국내 법상 논의는 활발하지 않음

 

3. 기타

- 경제성, 예측 가능성에 비추어 현재 제시된 법률의 내용 보강 필요

 

- 개인정보 활용을 위한 법제에 비해 시장에서 데이터 활용에 대한 활성화가 이루어지지 않음

> 여러 규제(EU AI Act 등)가 개보법에 포함되며 활용이 제약될 수 있음

 

- 제3자 제공, 공동 이용 등의 모호성의 명확화

> 계약 사항 이행을 위해 필요한 부분들이 별도 규정되어 있음

> 계약 사항 이행 목적임에도 재동의 필요

> 공동 이용시 책임소재 명확화 필요

> 제3자 제공 관련 최초 이관자의 의도 파악이 중요

 

- 현재 동의 받는 방식의 습관화와 개인정보 보호의 관련성 고려 필요

 

- 알고리즘 통제자와 개인정보처리자의 불일치 문제의 해결 필요

 

- 개인정보처리자의 재량이나 판단 기준에 대해 해설서에 충분한 반영 필요

 

- 권리 행사의 예외가 되는 정당한 사유에 대한 구체화

 

※ 부족한 내용은 참고사이트 확인 바랍니다.

 

4. 참고

[1] https://privacy.naver.com/protection_activity/personal_information_report?menu=protection_activity_report_personal_information
[2] https://privacy.naver.com/protection_activity/privacy_white_paper?menu=protection_activity_report_privacy_whitepaper

[3] https://www.boannews.com/media/view.asp?idx=125712

'대외활동' 카테고리의 다른 글

RSAC2024 글로벌보안트렌드  (0) 2024.06.13
2024 상반기 침해사고 정보공유 세미나  (0) 2024.06.11
소프트웨이브 2023  (0) 2023.11.30
제로트러스트 가이드라인과 성공적 구현 방안  (0) 2023.10.12
제7회 금융보안원 논문공모전  (0) 2023.09.01

아침에 일어나 보니 카카오톡으로부터 "카카오계정 보호조치 안내" 톡을 받았다. 내용을 보아하니 카카오 계정에 의심스러운 로그인 시도 등 비정상적인 시도가 감지되었고, 보호를 위한 일종의  조치가 취해진 것 같다.

 

 

자세히 알아보기를 통해 확인한 내용을 요약하면 유출된 비밀번호 사용, 비정상적 로그인 시도, 다수의 어뷰징이 발생한 환경에서 로그인 등이 발생하여 보호 조치가 취해졌으며, 비밀번호 변경, 로그인 기록 관리, 2단계 인증 설정, 국가별 로그인 설정을 대응 방안으로 안내하고 있다.

 

 

크게 의심되는 정황은 없어 우선 로그인 이력 조회(모바일 카카오톡 > 더보기 > 설정 > 카카오계정 > 로그인 관리 > 로그인 이력 조회)를 확인해 보았더니, 일반 로그인 이력에서는 특이사항이 없었으나, POP3/IMAP 이력에서 IP 27.255.91.225 (대한민국)에서의 로그인 시도가 확인되었다. 여러 사이트에 IP 조회를 해보니 모두 대한민국으로 조회되었고, ISP 업체는 국내 IT 기업으로 확인되나, 100% 신뢰하지는 않는다.

 

 

POP3 설정 안내를 확인해보니 설정 OFF의 경우, 로그인 시도는 있었지만 메일 서비스 이용은 실패한 상태라는 안내가 확인되었다. 좀 더 구글링을 해보니 POP3/IMAP을 사용할 경우 외부 메일을 끌어와서 볼 수 있는 기능으로 확인되었다. 예를 들어 네이버 메일에 POP3/IMAP 기능을 설정하면 스마트폰, 아웃룩 등에서 네이버 메일을 확인할 수 있게 된다. 정리하면 외부의 아무개가 다음메일의 POP3/IMAP 기능을 이용해 외부 메일과 연동하려는 시도가 있었던 것으로 판단된다.

 

 

그래서, 비밀번호 변경, 2단계 인증 사용, 국가별 로그인 제한을 설정했고, 이메일과 전화번호 또한 변경하였다. 다음 메일을 확인(다음 메일 > 설정 > IMAP/POP3)해 보니 POP3/IMAP을 사용 안 함으로 설정되어 있었다(디폴트로 사용 안 함으로 설정되어 있는 것으로 판단된다).  

 

 

또, 네이버 메일을 확인(메일 > 환경설정 > POP3/IMAP 설정)해 보니 역시 POP3/IMAP 사용 안 함으로 설정되어 있었다. 마찬가지로 기존에 사용 중이던 2단계 인증을 제외하고, 타 지역 로그인 차단, 해외 로그인 차단, 새 기기 로그인 알람, 새로운 환경 로그인 알림을 다시 설정해 적용하였다(과정 중에 로그인 전용 아이디라는 것이 있던데 오직 로그인만을 위한 아이디로써, 관련 정보를 좀 더 찾아봐야겠다). 추가적으로 만약 네이버 메일에서 POP3/IMAP을 사용할 경우 2단계 인증을 사용할 것을 권장하며, 이 경우 애플리케이션 비밀번호를 생성한 후 해당 비밀번호를 이용해야만 외부 메일 등록이 가능하다고 한다.

 

 

POP3/IMAP을 이용한 해킹 시도는 처음 겪어봐 무서우면서도 한편으로 어떻게든 해킹하려는 아무개가 대단하게 느껴지기도 했다. 보안을 전공하면서, 안전하게 인터넷 서비스를 이용하려 여러 노력을 하고 있지만, 좀 더 많은 주의가 필요하다는 것을 느끼게 된 하루였다.

'자기소개 > 일상' 카테고리의 다른 글

2024.10.08 개인정보 침해 신고 과정  (2) 2024.10.08
2023.07.27 미션임파서블7 데드레코닝 후기  (0) 2023.07.27
2023.06.04 향수 쇼핑 && 시화나래휴게소 드라이브  (0) 2023.06.04
2023.05.05 아이폰 보안 대응 업데이트  (0) 2023.05.05
2023.05.03 개인정보 침해 관련 문의 결과  (0) 2023.05.03

1. 개요

- 국정원에서 북한에 의한 국내 포털사이트 '네이버' 사칭 피싱사이트 포착

- 지난 5월 북한의 국내 포털사이트(네이버, 다음 등) 사칭 주의 이후 두 번째 발표

- 기존 피싱 공격과 달리 실제 네이버 화면과 동일하여 사이트 외관만으로 구분 불가

 

2. 주요 내용

- 그동안 단순히 네이버 등 로그인 페이지만 복제하여 사용자들의 로그인을 유도해 계정 및 개인정보 탈취

[사진 1] 과거 북한 김수키 해킹 그룹이 생성한 국책연구기관 로그인 피싱 페이지

 

- 하지만, 최근 포털사이트 메인화면을 완전히 복제한 피싱 페이지가 확인됨

> 국정원에서 네이버 메인화면을 완전히 복제한 피싱 페이지 확인

> 정상적인 네이버 주소(www[.]naver[.]com)과 주소가 다름 Ex. www[.]naverportal[.]com

[사진 2] 정상 포털 화면(좌) 및 피싱 포털 화면(우) 비교

 

- 포털 메인화면뿐만 아니라 증권, 부동산, 뉴스 등 자주 사용하는 세부 메뉴까지 동일

[사진 3] 정상 포털 화면(좌) 및 피싱 포털 화면(우) 비교

 

- 피싱 사이트로 추가적인 접속을 막기위해, 관련 기관과 공유 및 접속 차단 조치 진행

> 북한 피싱사이트 서버가 해외에 있어 해외기관과의 정보공유를 통해 활동을 추적 중

> 피해 차단을 위해 다각적으로 대응할 계획

[사진 4] 현재 피싱 사이트 접속 불가

 

- 국정원은 포털사이트 사용시 국민들의 주의를 당부

> 포털 사이트 주소를 집적 입력하거나, 즐겨찾기에 등록 후 사용하는 것이 안전

> 북한발 공격이 점점 교묘해지고 있어, 개인의 범위에서부터 주의 필요

 

3. 참고

[1] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=236&currentPage=1&selectBox=&searchKeyword=&fromDate=&toDate=
[2] https://www.boannews.com/media/view.asp?idx=119121&page=2&kind=1 

'취약점 > Social Engineering' 카테고리의 다른 글

큐싱(Qshing)  (1) 2023.11.01
MS Teams 공격 도구 TeamsPhisher  (0) 2023.07.06
마이크로소프트, 다단계 AiTM 피싱 및 BEC 공격에 대해 경고  (0) 2023.06.12
국정원, 국내 '포털사이트' 사칭한 北 해킹공격 주의 촉구  (1) 2023.05.26
불가능한 이동(Impossible Travel) 경고를 우회하는 BEC 공격  (0) 2023.05.24

1. 개요

- 북한 해킹조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹공격을 진행

- 국가정보원이 처음으로 北해킹공격 관련 통계를 공개하며 경각심 제고

※ 대한민국 대상 해킹공격 중, 2020~2022년에 발생한 북한으로부터의 사이버 공격 및 피해통계를 공개

- 북한발 공격은 이메일을 악용한 해킹 공격(74%), 취약점 악용(20%), 워터링 홀(3%), 공급망 공격(2%), 기타(1%) 순으로 집계

※ 국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻

 

2. 주요내용

- 북한은 해킹메일로 확보한 계정정보를 이용해 정보 탈취하며, 수발신 관계를 분석해 2~3차 공격대상을 선정 및 악성코드 유포 등을 수행

 

- 북한이 사칭한 기관 비율은 다음과 같음

> 일반적으로 발신자명을 먼저 확인하는 점에 착안해 주로 네이버, 카카오를 사칭

기관 네이버 카카오(다음) 금융, 기업, 방송언론 외교안보 기타
비중 45% 23% 12% 6% 14%

 

- 또한, 해킹 메일 제목은 다음과 같음

> 계정 정보, 회원 정보 등 변경 또는 이용제한 안내와 같이 계정 보안 문제를 주제로 피싱메일 발송

순서 해킹메일 제목
1 새로운 환경에서 로그인 되었습니다.
2 [중요] 회원님의 계정이 이용제한되었습니다.
3 해외 로그인 차단 기능이 실행되었습니다.
4 회원님의 본인확인 이메일 주소가 변경되었습니다.
5 알림 없이 로그인하는 기기로 등록되었습니다.
6 회원님의 메일계정이 이용제한 되었습니다.
7 [Daum]계정아이디가 충돌하였습니다. 본인 확인이 필요합니다.
8 [Daum]고객님의 계정이 충돌되었습니다.
9 [경고]회원님의 아이디로 스팸이 대량 발송되었습니다.
10 [보안공지]비정상적인 로그인이 감지되었습니다.

 

- 사칭 발신자명 및 사칭 메일주소

> 사용자들의 의심을 낮추기위해 '발신자명'과 '메일 제목'을 교묘히 변형

사칭대상 사칭 발신자명
네이버 - 네0|버 (숫자 0)
- 네O|버 (영어 O)
네이버
- 네이버
네이버
(주)네이버
- NAVER고객
‘ 네이버 MYBOX ’
카카오(다음) Daum 고객센터
-  Daum 보안
- Daum 고객지원
[Daum]고객센터
- 다음메일 커뮤니케이션
Clean Daum
-  '카카오팀'
- Daum 캐쉬담당자

 

구분 공식 메일주소 사칭 메일주소
네이버 네이버 account_noreply@navercorp.com - account_norply@navercop.com
- accounsts_reply@navercorp.com
- account_help@`navercorp.com
네이버 고객센터 help@help.naver.com - help@helpnaver.com
- help@help.naveradmin.com
- help@help.navor.com
네이버 메일 navermail_noreply@navercorp.com mail_notify@naver.com
no-reply@navecorp.com
- navermail_noreply@sian.com
카카오, 다음 카카오 noreply@kakaocorp.com - noreply@kakaocrop.net
- norepley@kakaocorps.co.kr
- no-reply@kakaocorp.com
다음 메일 notice-master@daum.net - notise-master@daurn.net
- notice-master@daum.nat
- notice-master@hanmail.net
카카오 메일 noreply_kakaomail@kakao.com - noreply-master@kakao.com
noreply@kakao.com
- noreply@kakaocrp.com

 

3. 사칭방법 및 대응방안

- 관리자를 사칭하며, 악성 링크를 삽입계정 입력 유도 및 정보 탈취

대응방안 참고
발신자 이름을 유사하게 흉내내므로, 아이콘 차이 확인
발신자 주소 확인

※ 공식 메일주소 - 사칭 메일주소 비교 표 참고
메일 내 링크 주소 확인
링크 클릭 후 표시되는 화면의 주소 확인

메일 무단열람 방지를 위한 2단계 인증 설정
일반적인 보안 규칙 준수 - 출처가 불분명한 파일, 링크 실행 및 클릭 금지 등

 

4. 참고

[1] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=234&currentPage=1&selectBox=&searchKeyword=&fromDate=&toDate= 

[2] https://www.boannews.com/media/view.asp?idx=118493&page=1&kind=2 

'취약점 > Social Engineering' 카테고리의 다른 글

국정원, 北의 '네이버 복제 피싱사이트' 주의 당부  (0) 2023.06.14
마이크로소프트, 다단계 AiTM 피싱 및 BEC 공격에 대해 경고  (0) 2023.06.12
불가능한 이동(Impossible Travel) 경고를 우회하는 BEC 공격  (0) 2023.05.24
북한 해킹 그룹 APT37(ScarCruft, Temp.Reaper) GitHub 저장소  (0) 2023.04.30
Browser in the Browser (BitB)  (0) 2023.04.20

+ Recent posts

티스토리툴바